Contas utilizadas no System Center Configuration ManagerAccounts used in System Center Configuration Manager

Neste artigo

Utilize as seguintes informações para identificar os grupos do Windows e as contas que são utilizadas no System Center Configuration Manager, como são utilizados e quaisquer requisitos.Use the following information to identify the Windows groups and the accounts that are used in System Center Configuration Manager, how they are used, and any requirements.

Quando o Configuration Manager cria um grupo num computador que seja um membro de domínio, o grupo é um grupo de segurança local.When Configuration Manager creates a group on a computer that is a domain member, the group is a local security group.Se o computador for um controlador de domínio, o grupo é um grupo local de domínio que é partilhado entre todos os controladores de domínio no domínio.If the computer is a domain controller, the group is a domain local group that is shared among all domain controllers in the domain.

Por predefinição, este grupo tem leitura permissão para a seguinte pasta no servidor do site: %path%\Microsoft Configuration Manager\sinv.box\FileCol.By default, this group has Read permission to the following folder on the site server: %path%\Microsoft Configuration Manager\sinv.box\FileCol.

ConfigMgr_DViewAccessConfigMgr_DViewAccess

Este grupo é um grupo de segurança local do Configuration Manager cria no servidor de base de dados do site ou servidor de réplica de base de dados.This group is a local security group that Configuration Manager creates on the site database server or database replica server.Se não é utilizado atualmente mas está reservado para utilização futura.It is not currently used but is reserved for future use.

Utilizadores do Controlo Remoto do ConfigMgrConfigMgr Remote Control Users

Ferramentas remotas do Configuration Manager utilizam este grupo para armazenar contas e grupos que configura na lista de visualizadores que está atribuída a cada cliente.Configuration Manager remote tools use this group to store the accounts and groups that you set up in the Permitted Viewers list that is assigned to each client.

Este grupo é um grupo de segurança local criado no cliente do Configuration Manager quando o cliente recebe uma política que ativa as ferramentas remotas.This group is a local security group created on the Configuration Manager client when the client receives a policy that enables remote tools.

Depois de desativar as ferramentas remotas para um cliente, este grupo não é removido automaticamente.After you disable remote tools for a client, this group is not automatically removed.Tem de ser manualmente eliminado de cada computador cliente.It must be manually deleted from each client computer.

AssociaçãoMembership

Por predefinição, não existem membros neste grupo.By default, there are no members in this group.Quando são adicionados utilizadores à lista de Visualizadores Autorizados, eles são automaticamente adicionados a este grupo.When you add users to the Permitted Viewers list, they are automatically added to this group.

Pode utilizar a lista de Visualizadores Autorizados para gerir a associação a este grupo, em vez de adicionar utilizadores ou grupos diretamente a este grupo.You can use the Permitted Viewers list to manage the membership of this group instead of adding users or groups directly to this group.

Além de ser um visualizador autorizado, um utilizador administrativo tem de ter o controlo remoto permissão para o coleção objeto.In addition to being a permitted viewer, an administrative user must have the Remote Control permission to the Collection object.Pode atribuir esta permissão utilizando a função de segurança Operador de Ferramentas Remotas.You can assign this permission by using the Remote Tools Operator security role.

PermissõesPermissions

Por predefinição, este grupo não tem permissões para localizações no computador.By default, this group does not have permissions to any locations on the computer.É utilizado apenas para conter a lista de visualizadores.It is used only to hold the Permitted Viewers list.

Este grupo é um grupo de segurança local criado em cada computador que tem um fornecedor de SMS.This group is a local security group created on each computer that has an SMS Provider.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed.Tem de ser manualmente eliminado.It must be manually deleted.

AssociaçãoMembership

O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership.Por predefinição, cada utilizador administrativo numa hierarquia e a conta do computador do servidor de site são membros do grupo Admins de SMS em cada computador do Fornecedor de SMS num site.By default, each administrative user in a hierarchy and the site server computer account are members of the SMS Admins group on each SMS Provider computer in a site.

Pontos de gestão do Configuration Manager que são remotos, o servidor do site utilizam este grupo para ligar à base de dados do site.Configuration Manager management points that are remote from the site server use this group to connect to the site database.Este grupo fornece acesso de ponto de gestão às pastas a receber no servidor do site e na base de dados do site.This group provides a management point access to the inbox folders on the site server and the site database.

Este grupo é um grupo de segurança local criado em cada computador que tem um fornecedor de SMS.This group is a local security group created on each computer that has an SMS Provider.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed.Tem de ser manualmente eliminado.It must be manually deleted.

AssociaçãoMembership

O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership.Por predefinição, a associação inclui as contas de computador de computadores remotos que têm um ponto de gestão para o site.By default, membership includes the computer accounts of remote computers that have a management point for the site.

Computadores de fornecedor de SMS do Configuration Manager que são remotos, a partir do servidor de site utilizam este grupo para ligar ao servidor do site.Configuration Manager SMS Provider computers that are remote from the site server use this group to connect to the site server.

Este grupo é um grupo de segurança local criado no servidor do site.This group is a local security group created on the site server.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed.Tem de ser manualmente eliminado.It must be manually deleted.

AssociaçãoMembership

O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership.Por predefinição, a associação inclui a conta de computador ou a conta de utilizador de domínio que é utilizada para ligar ao servidor do site a partir de cada computador remoto que tenha instalado um fornecedor de SMS para o site.By default, membership includes the computer account or the domain user account that is used to connect to the site server from each remote computer that has installed an SMS Provider for the site.

O Gestor de distribuição de ficheiros em computadores de sistema de sites remoto do Configuration Manager utiliza este grupo para ligar ao servidor do site.The File Dispatch Manager on Configuration Manager remote site system computers uses this group to connect to the site server.

Este grupo é um grupo de segurança local criado no servidor do site.This group is a local security group created on the site server.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed.Tem de ser manualmente eliminado.It must be manually deleted.

AssociaçãoMembership

O Configuration Manager gere automaticamente a associação ao grupo.Configuration Manager automatically manages the group membership.Por predefinição, a associação inclui a conta do computador ou a conta do utilizador de domínio que é usada para ligar ao servidor do site a partir de cada computador do servidor de site remoto que executa o Gestor de Distribuição de Ficheiros.By default, membership includes the computer account or the domain user account that is used to connect to the site server from each remote site system computer that runs the File Dispatch Manager.

Este grupo é um grupo de segurança local criado no servidor do site.This group is a local security group created on the site server.

AssociaçãoMembership

Quando instala um novo site como subordinado de outro site, o Configuration Manager adiciona automaticamente a conta de computador do novo site ao grupo no servidor do site principal.When you install a new site as a child of another site, Configuration Manager automatically adds the computer account of the new site to the group on the parent site server.Do Configuration Manager também adiciona a conta de computador do site principal para o grupo no novo servidor do site.Configuration Manager also adds the parent site's computer account to the group on the new site server.Se especificar outra conta para transferências de ficheiros, adicione essa conta para este grupo no servidor do site de destino.If you specify another account for file-based transfers, add that account to this group on the destination site server.

Quando desinstala um site, este grupo não é removido automaticamente.When you uninstall a site, this group is not automatically removed.Tem de ser manualmente eliminado.It must be manually deleted.

PermissõesPermissions

Por predefinição, este grupo tem controlo total para o %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive pasta.By default, this group has full control to the %path%\Microsoft Configuration Manager\inboxes\despoolr.box\receive folder.

Pode configurar as seguintes contas para o Configuration Manager.You can set up the following accounts for Configuration Manager.

Conta de Deteção de Grupos do Active DirectoryActive Directory Group Discovery Account

O conta de deteção de grupo do Active Directory é utilizada para detetar grupos de segurança locais, globais e universais, as associações no âmbito desses grupos e as associações no âmbito de grupos de distribuição a partir de localizações especificadas nos serviços de domínio do Active Directory.The Active Directory Group Discovery Account is used to discover local, global, and universal security groups, the membership within these groups, and the membership within distribution groups from the specified locations in Active Directory Domain Services.Os grupos de distribuição não são detetados como recursos de grupo.Distribution groups are not discovered as group resources.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account.Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.It must have Read access permission to the Active Directory locations that are specified for discovery.

Conta de Deteção de Sistemas do Active DirectoryActive Directory System Discovery Account

A Conta de Deteção de Sistemas do Active Directory serve para detetar computadores a partir de localizações especificadas nos Serviços de Domínio do Active Directory.The Active Directory System Discovery Account is used to discover computers from the specified locations in Active Directory Domain Services.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account.Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.It must have Read access permission to the Active Directory locations that are specified for discovery.

A Conta de Deteção de Utilizadores do Active Directory serve para detetar contas de utilizador a partir de localizações especificadas nos Serviços de Domínio do Active Directory.The Active Directory User Discovery Account is used to discover user accounts from the specified locations in Active Directory Domain Services.

Esta conta pode ser uma conta de computador do servidor do site que executa a deteção ou uma conta de utilizador do Windows.This account can be a computer account of the site server that runs discovery, or a Windows user account.Tem de ter permissão de acesso de Leitura às localizações do Active Directory que são especificadas para deteção.It must have Read access permission to the Active Directory locations that are specified for discovery.

Conta de Floresta do Active DirectoryActive Directory Forest Account

O conta de floresta do Active Directory é utilizada para detetar a infraestrutura de rede a partir de florestas do Active Directory.The Active Directory Forest Account is used to discover network infrastructure from Active Directory forests.Sites de administração central e sites primários também utilizam para publicar dados do site nos serviços de domínio do Active Directory para uma floresta.Central administration sites and primary sites also use it to publish site data to Active Directory Domain Services for a forest.

Nota

Os sites secundários utilizam sempre a conta de computador de servidor do site secundário para publicar no Active Directory.Secondary sites always use the secondary site server computer account to publish to Active Directory.

Nota

A conta de floresta do Active Directory tem de ser uma conta global para detetar e publicar em florestas não fidedignas.The Active Directory Forest Account must be a global account to discover and publish to untrusted forests.Se não utilizar a conta de computador do servidor do site, pode selecionar apenas uma conta global.If you do not use the computer account of the site server, you can select only a global account.

Esta conta tem de ter permissões de Controlo Total para o contentor de Gestão do Sistema e todos os respetivos objetos subordinados em cada floresta do Active Directory onde pretende publicar os dados do site.This account must have Full Control permissions to the System Management container and all its child objects in each Active Directory forest where you want to publish site data.

Conta de Ponto de Registo de CertificadosCertificate Registration Point Account

O a conta de ponto de registo de certificados liga o ponto de registo de certificados para a base de dados do Configuration Manager.The Certificate Registration Point Account connects the certificate registration point to the Configuration Manager database.A conta de computador do servidor de ponto de registo de certificados é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the certificate registration point server is used by default, but you can set up a user account instead.Tem de especificar uma conta de utilizador sempre que o ponto de registo de certificados está num domínio não fidedigno do servidor do site.You must specify a user account whenever the certificate registration point is in an untrusted domain from the site server.Esta conta apenas necessite leitura aceder na base de dados do site, porque o sistema de mensagens de estado processa as tarefas de escrita.This account requires only Read access to the site database, because the state message system handles write tasks.

A conta tem de ter permissões de Leitura e Escrita na partilha de rede onde a imagem capturada está armazenada.The account must have Read and Write permissions on the network share where the captured image is stored.

Se a palavra-passe para a conta for alterada no Windows, tem de atualizar a sequência de tarefas com a nova palavra-passe.If the password for the account is changed in Windows, you must update the task sequence with the new password.O cliente do Configuration Manager recebe a nova palavra-passe quando transferir a política de cliente.The Configuration Manager client receives the new password when it next downloads the client policy.

Se utilizar esta conta, pode criar uma conta de utilizador de conta de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequência de tarefas.If you use this account, you can create one domain user account with minimal permissions to access the required network resources and use it for all task sequence accounts.

Importante

Não atribua permissões de início de sessão interativas a esta conta.Do not assign interactive sign-in permissions to this account.

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

O conta de instalação de Push de cliente é utilizada para ligar a computadores e instalar o software de cliente do Configuration Manager, se implementar clientes utilizando a instalação de push de cliente.The Client Push Installation Account is used to connect to computers and install the Configuration Manager client software if you deploy clients by using client push installation.Se esta conta não for especificada, é utilizada a conta de servidor do site para tentar instalar o software de cliente.If this account is not specified, the site server account is used to try to install the client software.

Esta conta tem de ser um membro do local administradores grupo nos computadores onde será instalado o software de cliente do Configuration Manager.This account must be a member of the local Administrators group on the computers where the Configuration Manager client software will be installed.Esta conta não necessita de administrador de domínio direitos.This account does not require Domain Admin rights.

Para coordenar de forma mais eficaz atualizações de conta em grandes implementações de Active Directory, crie uma nova conta com um nome diferente e, em seguida, adiciona a nova conta à lista de contas de instalação Push da cliente no Configuration Manager.To more effectively coordinate account updates in large Active Directory deployments, create a new account with a different name, and then add the new account to the list of Client Push Installation Accounts in Configuration Manager.Permita tempo suficiente para serviços de domínio do Active Directory repliquem a nova conta e, em seguida, remova a conta antiga do Configuration Manager e os serviços de domínio do Active Directory.Allow sufficient time for Active Directory Domain Services to replicate the new account, and then remove the old account from Configuration Manager and Active Directory Domain Services.

Importante

Não conceda a esta conta o direito de iniciar sessão localmente.Do not grant this account the right to sign in locally.

Conta de Ligação do Ponto de RegistoEnrollment Point Connection Account

O conta de ligação de ponto de registo liga o ponto de registo na base de dados do site do Configuration Manager.The Enrollment Point Connection Account connects the enrollment point to the Configuration Manager site database.A conta de computador do ponto de inscrição é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the enrollment point is used by default, but you can set up a user account instead.Tem de especificar uma conta de utilizador sempre que o ponto de registo está num domínio não fidedigno do servidor do site.You must specify a user account whenever the enrollment point is in an untrusted domain from the site server.Esta conta necessita leitura e escrever acesso para a base de dados do site.This account requires Read and Write access to the site database.

Conta de Ligação de Ponto de GestãoManagement Point Connection Account

O conta de ligação de ponto de gestão é utilizada para ligar o ponto de gestão para a base de dados do site do Configuration Manager para que possa enviar e receber informações de clientes.The Management Point Connection Account is used to connect the management point to the Configuration Manager site database so that it can send and retrieve information for clients.A conta de computador do ponto de gestão é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the management point is used by default, but you can set up a user account instead.Tem de especificar uma conta de utilizador sempre que o ponto de gestão está num domínio não fidedigno do servidor do site.You must specify a user account whenever the management point is in an untrusted domain from the site server.

Crie a conta como com direitos restritos, a conta local no computador que executa o Microsoft SQL Server.Create the account as a low-rights, local account on the computer that runs Microsoft SQL Server.

Importante

Não conceda direitos de início de sessão interativos a esta conta.Do not grant interactive sign-in rights to this account.

Conta de ligação de multicastMulticast Connection Account

Pontos de distribuição que estão configurados para utilizar multicast o conta de ligação de Multicast ao ler as informações da base de dados do site.Distribution points that are set up for multicast use the Multicast Connection Account to read information from the site database.A conta de computador do ponto de distribuição é utilizada por predefinição, mas pode configurar uma conta de utilizador em vez disso.The computer account of the distribution point is used by default, but you can set up a user account instead.Tem de especificar uma conta de utilizador sempre que a base de dados do site estiver numa floresta não fidedigna.You must specify a user account whenever the site database is in an untrusted forest.Por exemplo, se o seu centro de dados possuir uma rede de perímetro numa floresta que não é o servidor do site e a base de dados do site, pode utilizar esta conta para ler as informações de multicast da base de dados do site.For example, if your data center has a perimeter network in a forest other than the site server and site database, you can use this account to read the multicast information from the site database.

Não conceda direitos de início de sessão interativos a esta conta.Do not grant interactive sign-in rights to this account.

Conta de Acesso à RedeNetwork Access Account

Utilização de computadores de cliente a conta de acesso à rede quando não é possível utilizar a conta de computador local para aceder ao conteúdo em pontos de distribuição.Client computers use the Network Access Account when they cannot use their local computer account to access content on distribution points.Por exemplo, isto aplica-se a clientes e computadores de grupo de trabalho de domínios não fidedignos.For example, this applies to workgroup clients and computers from untrusted domains.Esta conta também pode ser utilizada durante a implementação do sistema operativo, quando o computador que está a instalar o sistema operativo ainda não tem uma conta de computador no domínio.This account might also be used during operating system deployment, when the computer that's installing the operating system does not yet have a computer account on the domain.

Nota

A conta de acesso à rede nunca é utilizada como o contexto de segurança para executar programas, instalar atualizações de software ou executar sequências de tarefas.The Network Access Account is never used as the security context to run programs, install software updates, or run task sequences.É utilizado apenas para aceder a recursos na rede.It's used only for accessing resources on the network.

Conceda a esta conta o menor número possível de permissões ao nível do conteúdo de que o cliente necessita para aceder ao software.Grant this account the minimum appropriate permissions on the content that the client requires to access the software.A conta tem de ter o direito de Aceder a este computador a partir da rede no ponto de distribuição ou outro servidor que contém o conteúdo de pacote.The account must have the Access this computer from the network right on the distribution point or other server that holds the package content.Pode configurar até 10 Contas de Acesso de Rede por site.You can configure up to 10 Network Access Accounts per site.

Aviso

Quando o Configuration Manager tenta utilizar a conta nomedocomputador$ para transferir o conteúdo sem êxito, volta a tentar automaticamente a conta de acesso a rede, mesmo que tenta tentado sem êxito anteriormente.When Configuration Manager tries to use the computername$ account to download the content and it fails, it automatically tries the Network Access Account again, even if it has previously tried and failed.

Crie a conta em qualquer domínio que forneça o acesso necessário a recursos.Create the account in any domain that will provide the necessary access to resources.A Conta de Acesso à Rede tem de incluir sempre um nome de domínio.The Network Access Account must always include a domain name.Segurança pass-through não é suportada para esta conta.Pass-through security is not supported for this account.Se existirem pontos de distribuição em vários domínios, crie a conta num domínio fidedigno.If you have distribution points in multiple domains, create the account in a trusted domain.

Dica

Para evitar bloqueios de conta, não altere a palavra-passe de uma Conta de Acesso à Rede existente.To avoid account lockouts, do not change the password on an existing Network Access Account.Em vez disso, crie uma nova conta e configure a nova conta no Configuration Manager.Instead, create a new account and set up the new account in Configuration Manager.Quando tiver passado o tempo suficiente para todos os clientes receberem os detalhes da nova conta, remova a conta antiga das pastas partilhadas da rede e elimine a conta.When sufficient time has passed for all clients to have received the new account details, remove the old account from the network shared folders and delete the account.

Importante

Não conceda direitos de início de sessão interativos a esta conta.Do not grant interactive sign-in rights to this account.

Não conceda a esta conta o direito de associar computadores ao domínio.Do not grant this account the right to join computers to the domain.Se tiver de associar computadores ao domínio durante uma sequência de tarefas, utilize a Conta de Adesão ao Domínio do Editor de Sequência de Tarefas.If you must join computers to the domain during a task sequence, use the Task Sequence Editor Domain Joining Account.

Por predefinição, quando o Configuration Manager cria a partilha de pacote num ponto de distribuição, concede acesso leitura acesso local utilizadores grupo e controlo total local administradores grupo.By default, when Configuration Manager creates the package share on a distribution point, it grants Read access to the local Users group and Full Control to the local Administrators group.As permissões reais necessárias vão depender do pacote.The actual permissions required will depend on the package.Se tiver clientes localizados em grupos de trabalho ou em florestas não fidedignas, esses clientes utilizam a Conta de Acesso à Rede para aceder ao conteúdo dos pacotes.If you have clients in workgroups or in untrusted forests, those clients use the Network Access Account to access the package content.Certifique-se de que a conta de acesso a rede possui permissões para o pacote utilizando as contas de acesso a pacote definidas.Make sure that the Network Access Account has permissions to the package by using the defined Package Access Accounts.

Utilize contas de um domínio que tenham acesso aos pontos de distribuição.Use accounts in a domain that can access the distribution points.Se criar ou alterar a conta depois de criar o pacote, necessitará de redistribuir o pacote.If you create or change the account after the package is created, you must redistribute the package.A atualização do pacote não altera as permissões NTFS no pacote.Updating the package does not change the NTFS permissions on the package.

Não é necessário adicionar a conta de acesso a rede como uma conta de acesso a pacote, pois a associação do grupo de Utilizadores adiciona-a automaticamente.You do not have to add the Network Access Account as a Package Access Account, because membership of the Users group adds it automatically.Restringir a Contas de Acesso a Pacotes Apenas à Conta de Acesso à Rede não impedirá o acesso dos clientes ao pacote.Restricting the Package Access Account to only the Network Access Account does not prevent clients from accessing the package.

A conta que especificar tem de ter iniciar sessão localmente permissões no computador que aloja a base de dados do Reporting Services.The account you specify must have Log on Locally permissions on the computer hosting the Reporting Services database.

As contas que especificar como Visualizadores Autorizados para o controlo remoto são uma lista de utilizadores autorizados a utilizar a funcionalidade de ferramentas remotas em clientes.The accounts that you specify as Permitted Viewers for remote control are a list of users who are allowed to use remote tools functionality on clients.

Conta de Instalação de Sistema de SitesSite System Installation Account

O servidor de site utiliza o conta de instalação do sistema de sites para instalar, reinstalar, desinstalar e configurar sistemas de sites.The site server uses the Site System Installation Account to install, reinstall, uninstall, and set up site systems.Se configurar o sistema de sites para exigir que o servidor do site inicie ligações a este sistema de sites do Configuration Manager também utiliza esta conta para retirar dados do computador do sistema depois de instalar o sistema de sites e de quaisquer funções de sistema de sites.If you set up the site system to require the site server to initiate connections to this site system, Configuration Manager also uses this account to pull data from the site system computer after the site system and any site system roles are installed.Cada sistema de sites pode ter uma conta de instalação de sistema de sites diferentes, mas pode definir apenas uma conta de instalação de sistema de sites para gerir todas as funções de sistema de sites nesse sistema de sites.Each site system can have a different Site System Installation Account, but you can set up only one Site System Installation Account to manage all site system roles on that site system.

Esta conta requer permissões administrativas locais nos sistemas de site que administradores irão instalar e configurar.This account requires local administrative permissions on the site systems that admins will install and set up.Além disso, esta conta tem de ter aceder a este computador a partir da rede na política de segurança nos sistemas de site que administradores irão instalar e configurar.Additionally, this account must have Access this computer from the network in the security policy on the site systems that admins will install and set up.

Dica

Se tiver muitos controladores de domínio e estas contas são utilizadas em vários domínios, certifique-se de que as contas foram replicadas antes de configurar o sistema de sites.If you have many domain controllers and these accounts are used across domains, check that the accounts have replicated before you set up the site system.

Quando especificar uma conta local em cada sistema de sites a gerir, esta configuração é mais segura do que utilizar contas de domínio, pois limita os danos que podem ser feitos por atacantes se a conta for comprometida.When you specify a local account on each site system to be managed, this configuration is more secure than using domain accounts, because it limits the damage that attackers can do if the account is compromised.No entanto, as contas de domínio são mais fáceis de gerir.However, domain accounts are easier to manage.Considere o compromisso entre a segurança e administração eficiente.Consider the trade-off between security and effective administration.

Conta de ligação de ponto de atualização de softwareSoftware Update Point Connection Account

O servidor de site utiliza o conta de ligação de ponto de atualização de Software para os serviços de atualização de software dois seguintes:The site server uses the Software Update Point Connection Account for the following two software update services:

A conta de instalação do sistema de sites pode instalar componentes para atualizações de software, mas não é possível efetuar a funções específicas de atualização de software no ponto de atualização de software.The Site System Installation Account can install components for software updates, but it cannot perform software update-specific functions on the software update point.Se não for possível utilizar a conta de computador do servidor de site para esta funcionalidade porque o ponto de atualização de software está numa floresta não fidedigna, tem de especificar esta conta para além da conta de instalação de sistema de sites.If you cannot use the site server computer account for this functionality because the software update point is in an untrusted forest, you must specify this account in addition to the Site System Installation Account.

Esta conta tem de ser um administrador local no computador onde o WSUS está instalado.This account must be a local admin on the computer where WSUS is installed.Também tem de ser parte do grupo local de administradores do WSUS.It must also be part of the local WSUS Administrators group.

Conta de servidor proxy de ponto de atualização de softwareSoftware Update Point Proxy Server Account

Conta de site de origemSource Site Account

O processo de migração utiliza o conta de Site de origem para aceder ao fornecedor de SMS do site de origem.The migration process uses the Source Site Account to access the SMS Provider of the source site.Esta conta precisa de permissões de Leitura a objetos de site no site de origem para recolher dados para tarefas de migração.This account requires Read permissions to site objects in the source site to gather data for migration jobs.

Se atualizar pontos de distribuição do Configuration Manager 2007 ou sites secundários que tenham localizadas conjuntamente pontos de distribuição para pontos de distribuição do System Center Configuration Manager, esta conta também tem de ter eliminar permissões para o Site classe para remover com sucesso o ponto de distribuição do site do Configuration Manager 2007 durante a atualização.If you upgrade Configuration Manager 2007 distribution points or secondary sites that have co-located distribution points to System Center Configuration Manager distribution points, this account must also have Delete permissions to the Site class to successfully remove the distribution point from the Configuration Manager 2007 site during the upgrade.

Nota

A conta de Site de origem e a conta de base de dados do Site de origem são identificadas como Gestor de migração no contas o nó do administração área de trabalho na consola do Configuration Manager.Both the Source Site Account and the Source Site Database Account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

Conta de base de dados do site de origemSource Site Database Account

O processo de migração utiliza o conta de base de dados do Site de origem para aceder à base de dados do SQL Server para o site de origem.The migration process uses the Source Site Database Account to access the SQL Server database for the source site.Para recolher dados da base de dados do SQL Server do site de origem, a conta de base de dados do Site de origem tem de ter o leitura e executar permissões para do SQL Server da base de dados o site de origem.To gather data from the SQL Server database of the source site, the Source Site Database Account must have the Read and Execute permissions to the source site's SQL Server database.

Nota

Se utilizar a conta de computador do System Center Configuration Manager, certifique-se de que todas as seguintes são verdadeiras para esta conta:If you use the System Center Configuration Manager computer account, ensure that all the following are true for this account:

É um membro do grupo de segurança utilizadores COM distribuídos no domínio onde reside o site do Configuration Manager 2007.It is a member of the security group Distributed COM Users in the domain where the Configuration Manager 2007 site resides.

É um membro do grupo de segurança Admins de SMS.It is a member of the SMS Admins security group.

A conta de Site de origem e a conta de base de dados do Site de origem são identificadas como Gestor de migração no contas o nó do administração área de trabalho na consola do Configuration Manager.Both the Source Site Account and Source Site Database Account are identified as Migration Manager in the Accounts node of the Administration workspace in the Configuration Manager console.

A Conta de Associação de Domínio do Editor de Sequência de Tarefas é utilizada numa sequência de tarefas para associar um computador com imagem recentemente duplicada a um domínio.The Task Sequence Editor Domain Joining Account is used in a task sequence to join a newly imaged computer to a domain.Esta conta é necessária se adicionar o passo Associar Domínio ou Grupo de Trabalho a uma sequência de tarefas e selecionar Aderir a um domínio.This account is required if you add the step Join Domain or Workgroup to a task sequence, and then select Join a domain.Esta conta também pode ser configurada se adicionar o passo aplicar definições de rede para uma tarefa sequência, mas não é necessária.This account can also be set up if you add the step Apply Network Settings to a task sequence, but it is not required.

Esta conta requer o associar ao domínio diretamente no domínio a que o computador está associado.This account requires the Domain Join right in the domain that the computer is joining.

Dica

Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas.If you require this account for your task sequences, you can create one domain user account with minimal permissions to access the required network resources and use it for all task sequence accounts.

Importante

Não atribua permissões de início de sessão interativas a esta conta.Do not assign interactive sign-in permissions to this account.

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

Se necessitar desta conta para as sequências de tarefas, pode criar uma conta de utilizador de domínio com as permissões mínimas para aceder aos recursos de rede necessários e utilizá-la para todas as contas de sequências de tarefas.If you require this account for your task sequences, you can create one domain user account with minimal permissions to access the required network resources and use it for all task sequence accounts.

Importante

Não atribua permissões de início de sessão interativas a esta conta.Do not assign interactive sign-in permissions to this account.

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

Conta Run As de sequência de tarefasTask Sequence Run As Account

A Conta Run As de Sequência de Tarefas é utilizada para executar linhas de comandos em sequências de tarefas e utilizar credenciais diferentes da conta do sistema local.The Task Sequence Run As Account is used to run command lines in task sequences and use credentials other than the local system account.Esta conta é necessária se adicionar o passo executar linha de comandos a uma sequência de tarefas, mas não pretender a sequência de tarefas executada com permissões de conta de sistema local no computador gerido.This account is required if you add the step Run Command Line to a task sequence but do not want the task sequence to run with local system account permissions on the managed computer.

Configure a conta para ter as permissões mínimas necessárias para executar a linha de comandos que é especificada na sequência de tarefas.Set up the account to have the minimum permissions required to run the command line that's specified in the task sequence.A conta necessita de direitos de início de sessão interativos e normalmente requer a capacidade de instalar software e aceder a recursos de rede.The account requires interactive sign-in rights, and it usually requires the ability to install software and access network resources.

Importante

Não utilize a Conta de Acesso à Rede para esta conta.Do not use the Network Access Account for this account.

Nunca torne a conta um administrador de domínio.Never make the account a domain admin.

Nunca configure perfis itinerantes para esta conta.Never set up roaming profiles for this account.Quando a sequência de tarefas é executada, transfere o perfil itinerante para a conta.When the task sequence runs, it downloads the roaming profile for the account.Esta opção deixa o perfil vulnerável a acesso no computador local.This leaves the profile vulnerable to access on the local computer.

Limite o âmbito da conta.Limit the scope of the account.Por exemplo, crie Contas Run As de Sequência de Tarefas diferentes para cada sequência de tarefas, de modo a que, se uma conta for comprometida, apenas sejam comprometidos os computadores cliente a que essa conta tenha acesso.For example, create different Task Sequence Run As Accounts for each task sequence so that if one account is compromised, only the client computers to which that account has access are compromised.

Se a linha de comandos exigir acesso administrativo no computador, considere a criação de uma conta de administrador local apenas para a tarefa de sequência de conta Run As em todos os computadores que executam a sequência de tarefas.If the command line requires administrative access on the computer, consider creating a local admin account solely for the Task Sequence Run As Account on all computers that run the task sequence.Elimina a conta, assim que já não precisar dele.Delete the account as soon as you no longer need it.

Note

The feedback system for this content will be changing soon. Old comments will not be carried over. If content within a comment thread is important to you, please save a copy. For more information on the upcoming change, we invite you to read our blog post.